Sesiones de fuerza bruta

Question

¿Qué tan factible es para las sesiones de fuerza bruta?

Actualmente estoy usando sesiones de base de datos de CodeIgniter, que no utilizan sesiones nativas de PHP: el cifrado de la cookie de sesión y la coincidencia del agente de usuario están activadas.

Digamos que establecí la caducidad de la sesión en 4 meses, ¿alguien podría abrirse camino a fuerza bruta a través de los identificadores de sesión? No solo para controlar las sesiones, sino también para eliminar elementos de las cuentas, causar caos general, etc. (La protección CSRF de CI está activada)

Me gustaría otorgar a la mayoría de los usuarios un ID de sesión de larga duración donde los usuarios anónimos reciben más de la funcionalidad de un usuario registrado, como cosas favoritas, similares a StackOverflow.

Answer 1

CodeIgniter Sesiones DO NOT utilize naitive php sessions (ya sea base de datos o de otro tipo), como tal, puede activar el cifrado de sesión utilizando la clave de cifrado proporcionada en el archivo de config.php que le ayudará con sus problemas de seguridad ...

Answer 2

Si su clave de cifrado es largo y complejo (simplemente escribo galimatías para mis claves de cifrado CI), entonces no, no es probable que sea inexpugnable con la tecnología actual, diría yo. Si su clave es una palabra y/o un diccionario, entonces sí podría suceder en 4 meses.

A menos que su sitio sea muy popular, no creo que un pirata informático desperdicie su tiempo en hackear su sitio. Siempre hay alguien más grande y mejor de lo que los piratas informáticos apuntarán primero.